Bạn sẽ bị tấn công bởi 2 lỗi Zeroday này trên Mozilla Firefox nếu không cập nhật bản vá ngay

Mozilla đã bắt đầu đẩy các bản cập nhật phần mềm trên trình duyệt Firefox của mình để vá hai lỗ hổng bảo mật Zeroday có độ nguy hiểm cực cao, hiện cả hai lỗ hổng này đều đang được khai thác tích cực. Hãy nhanh chóng cập nhập bản vá trên trình duyệt của bạn!

Được theo dõi là CVE-2022-26485 và CVE-2022-26486, các lỗi zero-day đã được mô tả là các vấn đề use-after-free ảnh hưởng đến Extensible Stylesheet Language Transformations (XSLT) và WebGPU inter-process communication (IPC) Framework.

XSLT là một ngôn ngữ dựa trên XML được sử dụng để chuyển đổi các tài liệu XML thành các trang web hoặc tài liệu PDF, trong khi WebGPU là một tiêu chuẩn web mới nổi được lập hóa đơn như một sự kế thừa cho thư viện đồ họa WebGL JavaScript hiện tại.

Dưới đây là mô tả về hai lỗ hổng -

CVE-2022-26485 - Xóa thông số XSLT trong quá trình xử lý có thể dẫn đến việc sử dụng có thể khai thác use-after-free

CVE-2022-26486 - Một thông báo không mong muốn trong khuôn khổ WebGPU IPC có thể dẫn đến việc thoát sandbox của use-after-free và có thể bị khai thác.

Các lỗi use-after-free có thể bị khai thác và sử dụng để làm hỏng dữ liệu hợp lệ và thực thi mã tùy ý trên các hệ thống bị xâm phạm.

Mozilla thừa nhận rằng "Chúng tôi đã có báo cáo về các cuộc tấn công trong tự nhiên" vũ khí hóa hai lỗ hổng nhưng không chia sẻ bất kỳ chi tiết kỹ thuật cụ thể nào liên quan đến các cuộc xâm nhập hoặc danh tính của những kẻ xấu khai thác chúng.

Các nhà nghiên cứu bảo mật Wang Gang, Liu Jialei, Du Sihang, Huang Yi và Yang Kang của Qihoo 360 ATA đã được ghi nhận là đã phát hiện và báo cáo những thiếu sót.

Do việc khai thác tích cực các lỗ hổng, người dùng nên nâng cấp càng sớm càng tốt lên Firefox 97.0.2, Firefox ESR 91.6.1, Firefox dành cho Android 97.3.0, Focus 97.3.0 và Thunderbird 91.6.2.

Hương – Theo TheHackerNews